Quelque 100 000 documents personnels d’employés du Programme des Nations Unies pour l'Environnement ont été compromis par un groupe de hackers éthiques, début janvier, avant d'en avoir été informé.
Alors que les États-Unis sont empêtrés dans l’affaire SolarWinds – désormais appelée Solorigate – après que plusieurs de leurs administrations et entreprises aient fait l’objet d’un hacking d’une ampleur sans précédent, c’est maintenant autour de l’Organisation des Nations Unies (ONU) de montrer des failles de cybersécurité.
Un groupe de six hackers, rassemblés dans un collectif de hackers éthiques nommé Sakura Samurai et créé le 31 décembre 2020, a eu accès à quelque 100 000 données personnelles d’employés du Programme des Nations Unies pour l’environnement, ont-ils révélé dans un compte rendu, le 11 janvier, avant de les en alerter.
Les membres de Sakura Samurai ont repéré un endpoint sur des fichiers Git leur ayant permis d’accéder à des listings d’employés précisant des informations personnelles comme l’âge, sexe, ou leur pays d’origine, entre autres. Ils ont été capables d’extraire et de cloner les informations à l’aide d’un Git-dumper, ont-ils précisé.
« Au total, nous avons trouvé sept failles supplémentaires qui auraient pu nous donner illégalement accès à de multiples base sde données », ont-ils précisé dans leur blog avant d’alerter les membres du Vulnerability Disclosure Program de l’ONU, un programme mis en place pour alerter de failles de sécurité.
« En moins de 24h »
« Quand nous avons commencé à travailler sur l’ONU, nous ne pensions pas que cela s’aggraverait aussi vite. Nous avons obtenu toutes ces données en moins de 24h », a indiqué Sakura Samurai au journal Bleeping Computer, avec lequel le tout frais groupe a décidé de partager ses informations.
Sakura Samurai a informé l’ONU des failles le 4 janvier. L'ONU lui a répondu et réglé le problème en une semaine.
Ce n’est pas la première fois que l’ONU est la cible d’une cyberattaque. En 2019, l’organisation a vu le contenu de l’un de ses rapports affecté sérieusement via plusieurs de ces serveurs, une information qu’elle n’a pas rendu publique, a révélé une enquête de The New Humanitarian, le 29 janvier 2020.